Slučaj hakiranja KBC-a Zagreba 27. lipnja jedna je misteriozna priča čije detalje vjerojatno nikada nećemo saznati, ali sudeći prema informacijama koje su puštene u javnost proteklih dva tjedna, doživjeli smo ogroman sigurnosni i komunikacijski promašaj.

Prvo je tvrđeno kako podaci nisu ukradeni, ali priča se naglo zaokrenula kada javnost saznaje da hakeri ucjenjuju državu s objavljivanjem podataka ako ne plate otkupninu. Zatim smo 4. srpnja čuli kako je ravnatelj SOA-e izjavio: “Sva datoteka je spašena” – što nikome nije baš ulilo povjerenje. Ipak, 9. srpnja na Redditu su se počeli javljati pacijenti koji su ponovno morali ići na magnetnu rezonancu jer je njihova prijašnja snimka izgubljena.

Unatoč par takvih incidenata, Predsjednik saborskog Odbora za unutarnju politiku i nacionalnu sigurnost Ranko Ostojić, 10. srpnja nanovo tvrdi kako su sve datoteke vraćene:

O detaljima ne mogu, ali mogu odgovoriti da je točna bila informacija o tome da su 4. srpnja podaci vraćeni KBC-u.

Na kraju, 12. srpnja saznaje se ono najgore… onkološki pacijenti nisu mogli ići na kemoterapiju jer u sustavu nedostaju nalazi CT simulatora u kojem je navedno kojeg pacijenta, kada, koliko i gdje zrače.

Nakon što smo s FER-ovim stručnjakom razgovarali o prirodi ransomware napada i kako je moguće spriječiti takve napade, vrijeme je posvetiti se još jednoj ključnoj stavci ovog slučaja – kriznoj komunkaciji. Za KBC Rebro komunikacija je u svakom pogledu zakazala, slaže se Marko Rakar, konzultant i savjetnik na području informatičkih sustava, s kojim komentiramo situaciju…

Umjesto transparentnosti, zavaravajuće i nepotpune obavijesti

Kada krizna situacija uključuje bilo koji segment javnosti potrebno je regirati što prije moguće, najtransparentnije moguće komunicirati što se događa i na koga kriza utječe te na kraju objasniti što se poduzima kako bi se problem riješio i najaviti kada će se detaljnije govoriti o incidentu, ističe Marko:

U posljednjim danima i incidentima koji su se dogodili znamo da se javnost nije dobivala obavijesti na vrijeme, obavijesti koje smo dobili su bile nepotpune, zavaravajuće i u konačnici netočne.

Te obavijesti ne moraju odmah objasniti sve što se događalo ili detaljno objasniti sve što je poznato timovima koji se bave odgovorom na prijetnju, naravno da su pisani da “umire javnost”, ali isto tako ne bi smjeli prikrivati ili isticati tvrdnje i činjenice koje će kasnije biti lagano demantirati.

Konkrento u slučaju KBC-a, naravno da je bilo potrebno odmah informirati javnost, ali Marko se ne slaže s načinom i sadržajem obavijesti.

Obavijest je bila odaslana relativno brzo pa je donekle za razumjeti nespretnost u objavi, no s druge strane ovakvi scenariji su morali biti predviđeni i morao je postojati predložak procedura i ponašanja u situacijama poput ove. To je nažalost u cijelosti izostalo.

Transparentnost pomaže u održavanju i osnaživanju autoriteta jer, u konačnici, kada se situacija sanira i početne emocije slegnu, nećemo pamtiti hakere koji su zaustavili bolnicu, nego će nam u kolektivnom sjećanju ostati nesnalaženje i laganje javnosti od strane uprave KBC Zagreb.

Što bi uopće javnost trebala znati, a što ne?

U smislu opsega detalja koje javnost mora znati, uz eventualni izuzetak pojedinih detalja koje je nužno čuvati za potrebe policijske istrage, Marko smatra da je u slučajevima kibernetičkih incidenata poput ovoga nužno napraviti detaljni post-mortem izvještaj u kojem je detaljno opisano što se točno dogodilo, kako je do toga došlo, koja je bila reakcija, procjena i ocjena što se napravilo dobro, a što loše, te koje se mjere predlažu kako bi se ubuduće ovakve situacije spriječile.

“…apsolutno je neprihvatljivo da čelnik SOA-e ne barata elementarnim tehničkim pojmovima…”

SOA, kao centralno tijelo u Republici Hrvatskoj zaduženo za kibernetičku sigurnost u cijelosti je podbacilo, smatra Marko Rakar.

Zadatak moderne obavještajne agencije je da se suočava sa svim sigurnosnim izazovima i prijetnjama te je kibernetički prostor sasvim sigurno iznimno značajan ako ne i najveći pojedinačni prostor djelovanja moderne obavještajne agencije.

Imajući to u vidu, apsolutno je neprihvatljivo da čelnik SOA-e ne barata elementarnim tehničkim pojmovima što ukazuje na njegovo epsko neznanje i nerazumijevanje tematike, a što automatski podrazumijeva da kao čelna osoba agencije nije u stanju razumjeti, a posljedično ni reagirati na prijetnje, izazove pa ni prilike koje proizlaze iz kibernetičkog prostora.

Najviše su nastradali oni koje se najviše trebalo štititi

Uprava bolnice nas je uvjeravala, a sada znamo da je pritom i lagala, kako su svi podaci na sigurnom i kako ništa nije izgubljeno. Sada, nakon više od dva tjedna od incidenta, imamo dva odvojena problema, ističe Marko: 

Jedno je incident proboja u računalni sustav i ransomware koji je onemogućio pristup podacima, te novi problem: što u petnaest dana bolnica nije uspjela organizirati svoje funkcioniranje osobito prema iznimno bolesnim onkološkim pacijentima čiji životi ovise o ispravnoj i pravovremenoj reakciji liječnika. Jedno je kazneno djelo kriminalne skupine hakera, a ovo drugo je neoprostivi propust uprave bolnice.

Tužno je i neprihvatljivo da su pacijenti, koji su često izloženi terminalnim obolijevanjima toliko dugo, s tolikom lakoćom bili prepušteni sami sebi, bez adekvatnih informacija i njege koja im je potrebna, zaključuje Marko:

Pretpostavljam da KBC nije komentirao jer jedino što mogu učiniti je potvrditi da je to točno i da su svoje pacijente ostavili na cjedilu, a očito nije bilo dovoljno etike i hrabrosti među odgovornima da izađu pred javnost i priznaju svoj propust.

S vremenom ćemo saznavati više detalja o stvarnoj situaciji na KBC-u, ali te informacije vrlo vjerojatno neće dolaziti od nadležnih institucija, već od pacijenata koji su voljni dijeliti svoja iskustva na internetu. Možda na kraju naši najveći neprijatelji nisu hakeri, već zaborav i stav “kao da će se išta promijeniti”.